ウイルスに感染されたデータ復旧

ウイルスに感染されたデータ復旧

ウイルス感染、悪性コード等によりファイルが損傷された場合ウイルスと悪性コードによりシステム、ファイルシステムが損傷されパーティションやファイルが消える、またはファイル名が特殊文字等で文字化けされることがあります。
また、起動時にディスクの情報を修正するスキャンディスクが自動的に実行されることがありますので注意しなければなりません。

1.　主なウイルスの感染経路

・不法複製ソフトウェア使用
・インターネットのファイルダウンロード
・スパムメール・ウイルスの治療が出来ないプロッピィー、CDなどの使用 ウイルスに感染にされれば下のような症状がを見られます。
・CMOSでハードディスクの認識は出来るがウィンドウズが起動が出来ない
・特定プログラムが実行される時に非常に遅くなったり、停止する
・システムの停止、ファイルシステムの破壊(ファイル削除) などの場合
・画面に変な文字が出た後,データを無差別に削除される場合
・データ損傷
・データ変形
・フォルダ及びファイルの消失・ファイルシステム損傷で論理ドライブアクセス不可

復旧方法
ウィンドウズが使える状態ならウィンドウズエクスプローラに感染されている可能性もありますので、他の パソコン復旧のパソコンにスレーブでつなぎウイルスを治療しなければなりません。重要な文書ファイルなどに感染された場合ワクチンプログラムを使うとファイルが完全に削除されてしまうこともありますので気を付けなければなりません。

復旧率
80%

2.ウイルスの種類によるデータ復旧

(1)CIHウイルス感染

CIHウイルス感染 症状主にウィンドウズ 98,95 バージョン等で感染されるウイルスとして次のような症状が現れます。

・BIOSで ハードディスクデータ復旧のためハードディスク認識できない、ウィンドウズが起動できない場合
・特定プログラムが実行される時に誤作動または停止する場合
・システム停止、ファイルシステムの破損(ファイル破損) などの場合
・画面に変な文字や絵がでた後、データが無差別的に削除される場合　
・データの損傷
・データの変形
・フォルダ及びファイルの消失

復旧方法
主にFAT及び MBR領域が損傷を受けますので、全体のデータ検索及び復元作業を通じて約 80% 以上の復旧が可能です。
復旧率
80%



(2)Love Letter Virus(写真ファイルにかかるウイルス)

◆Love Letter Virusの症状
OSで MBR、Boot 領域が変更されて次のような問題が発生しデータの使用が不可能になります。
・ＯＳの起動が出来ない
・他のＰＣにつなぎ、デバイスマネージャからでは認識されるが論理ドライブとしては認識出来ない
・認識できない領域で侮ｦ 応急措置HDDデータ復旧のためHDD分離して他の PCにつなぎウイルスを治療しなければなりません。データが多く削除された場合は専門家に相談して下さい。

◆復旧方法
損傷されたパーティション国｢やファイルシステムはファイルシステムに対する専門知識がある専門エンジニアならディスク関連ツールを使い、元の状態とおりのウイルスデータ復元が可能です。

◆復旧率
80%

(3)ブートウイルス (Boot virus)
コンピュータが起動すればハードディスク復旧からハードディスクの一番最初の部分であるブートセクターに位置するプログラムが最も早く実行されますが、ここに位置するパソコンデータ復旧からコンピュータウイルスをBootウイルスと言います。
代表的にはBrain Virusと、Monkey Virus及び感染頻度が高いAnti-CMOSなどがあります。
Bootウイルスに感染されれば他の部分には影響がなく、Boot recorderという部分だけが損傷されるようになります。

Boot内にいるドライブの情報、ボリューム名、FATのサイズ、Sectorのサイズなどがすべて変わってしまい正常なドライブとして認識されません。
あるいはBootの情報を完全に消してしまうウイルスもあります。
この場合、他の作業を行っていなければ90%以上復旧が可能です。市販のプログラムでも復旧が可能な場合もありますが、情報が変形され正常に認識ができない時は復旧が出来ないこともあります。

(4)ファイルウィルス(File virus)
ファイルウイルスとは実行可能なプログラムに感染するウイルスです。
感染される対象は拡張子がCOM、EXEである実行ファイルが大部分で、国内で発見されたウイルスの80%程度がファイルウイルスに属するほどファイルウイルスは最も一般的なウイルスの一つであります。
国内では Jerusalem Virusと Sunday Virusを 始め、1997年と1998年多くの被害を出したScorpion Virus、Crow Virus、FCL Virusなどがありアジア地域に多くの被害を与えたWin95/CIHもこれに含まれます。
EXE、COMファイル自体が実行されない場合は再度プログラムを設置すればドライブを使えるようになります。
しかし、Win95/CIHの場合は実行されながら多くのSector部分を正常でないDataに変形させドライブをほとんど使えない状態にしてしまいます。
Win95/CIH以外のウイルスはプログラムを再度設置して治ります。
Win95/CIHの修復率はFAT16システムを使用している場合60%程度であり、FAT32システムを使用している場合は90%程度の修復率であります。

(5)ブート/ファイルウイルス(Multipartite virus)
ブート/ファイルウイルスはブートセクタとファイルに感染されるウイルスで、感染されればファイルの大きさが変更されたり、メモリの大きさをがとても小さく変更されプログラムを実行出来なくします。
One_Half Virusは 暗号になっていてこの暗号を解除しないままウイルススキャンをする場合Ｄａｔａが損傷されます。
その他Kaczor.444、Ebola、 One_half等のウイルスがあり、市販のワクチンプログラムで治療がHDD復旧可能です。

(6)マクロ ウイルス (Macro virus)
マクロ ウイルス (Macro virus)は新しいファイルウイルスの一種で、感染対象が実行ファイルでなくマイクロソフト社のエクセルとワードプログラムで使用する文書ファイルであります。
また、応用プログラムで使用するMacro使用を通し感染される形態で、Macroを使用する文書を読み書きする際に感染されるというのが、これまでのウイルスとは違う点であります。

Macroウイルスは エクセルとワード、パワーポイントのファイルを感染させます。
種類によってシステムファイルとファイル自体を損傷させることもあります。また、ファイル共有させるウイルスもあります。
XM/Laroux、W97M/Melissa、M、 W97M/Class、B Virusなどあります。ワクチンプログラムで治療が可能です。


サーバ復旧(サーバデータ復旧)、RAID復旧(RAIDデータ復旧)はウィルスには生じた場合は
大きい事件が行うので、バックアップを普段したほうがよいです。